У 60% пользователей установлены уязвимые версии Java. | автор: Luca | 3 апреля 2012

Категория: Open Source

Последнее время значительно увиличилось число атак на пользовательские системы осуществляется через браузерный Java-плагин. По данным Oracle Java используется на более чем на 3 миллиардах систем, при этом исследователи безопасности из компании Rapid7 пришли к неутешительному выводу - на 60-80 процентах компьютеров используются устаревшие версии Java, содержащие в себе критические уязвимости.

В течение месяца после выхода очередного обновления Java на него переходят только около 10% пользователей, по истечение двух месяцев число обновивших Java пользователей достигает 20%, а спустя три месяца - 30%. Более того, несмотря на то, что последнее обновление Java вышло полтора месяца назад, пользователи Java-пакета для Mac OS X по прежнему не получили исправлений безопасности и вынуждены пользоваться заведомо уязвимым продуктом.

источник

ВНИМАНИЕ !
Возможно что-то уже неактуально. Обращайте внимание на даты !
Эта статья опубликована 3 апреля 2012-го года !

Голосов: 20

Прочитано 5962 раз и оставлено 56 комментариев.

Другие новости:

ASP.NET в 3 раза безопаснее PHP

Столман нашел нового врага!

Исследование: пользователи Internet Explorer глупее прочих

Открытость Android оставила всего 23%

В целях повышения безопасности рекомендуется полностью удалить Java из системы

Комментарии посетителей

#1. Luca

Обычно настройка компьютеров, с которыми мне приходится сталкиваться заключается удалением предустановленного мусора и Java. Пока никто не жаловался... Непонятно зачем ее вообще предустанавливают. Oracle доплачивает?

Весьма печально, что на Java кто-то пытается какой-то десктопный софт писать. 99% людей даже замораживаться не будет, если приложение потребует что-то там еще скачать для своей работы.

(3.04.2012 - 21:08) Цитировать

#2. REVERSE

Luca, а что тебе не нравится в Java? Тебе Микрософт доплачивает за любовь к .Net?

Пишут десктопный софт на Java больше всего в корпоративном секторе, где фиг знаешь, на чем его будут запускать, да и скорость разработки на порядок выше, чем на том же С/С++ писать.

(3.04.2012 - 21:17) Цитировать

#3. Babusha

Накуя нужна жаба на винде, когда на винде есть дотнет?

(3.04.2012 - 21:25) Цитировать

#4. Luca

SemyonKozakov,
1. .net установлен на 90% современных компьютерах (читать как есть везде где есть Винда)
2. он в разы безопасней Java

пруф

3. он быстрее

(3.04.2012 - 21:40) Цитировать

#5. shell32

Цитата:
значительно число атак на пользовательские системы осуществляется через браузерный Java-плагин

У них неправильные браузеры tongue

/uploads/images/external/s019.radikal.ru/i628/1204/e5/439fc040fba4t.jpg

(3.04.2012 - 21:46) Цитировать

#6. MOP3E

SemyonKozakov написал:
Babusha, пока не аргументируешь свои утверждения, я отвечу тебе просто: накуя нужен дотнет, когда есть жаба?

Опять не ту кнопку ткнул. В общем, скорость разработки на дотнете не хуже, чем на яве. Ну, а остальное тебе Лука написал.

(3.04.2012 - 21:48) Цитировать

#7. registered_user

никогда на свой комп не ставил этот мусор, всегда искал что-то его не требующее, всегда находил

(3.04.2012 - 22:29) Цитировать

#8. дохтур

Надо было на одном маршрутизаторе простой тестовый пинг (из GUI) на другое устройство послать, так оно без java-плагина работать отказалось - я вообще подсел biggrin

(4.04.2012 - 00:02) Цитировать

#9. blow05

REVERSE написал:
Пишут десктопный софт на Java больше всего в корпоративном секторе, где фиг знаешь, на чем его будут запускать

Корпоративный сектор юзает java в основном для WEB систем (как внутренних, так и внешних). Да и вообще тонкие клиенты уверенно вытесняют десктопные приложения там, где это возможно

REVERSE написал:
да и скорость разработки на порядок выше, чем на том же С/С++ писать.

Тут корректнее было бы сравнивать с .Net, а там, насколько мне известно, скорость не особо отличается

Luca написал:
2. он в разы безопасней Java

Шо, прямо таки 0? А CVE-2012-0015 хотя бы взять?

Luca написал:
3. он быстрее

Достаточно сп#рное утверждение

А вообще - разрабатывать десктопный софт на java - изврат еще тот. Вот WEB - самое оно. Апплеты не нужны, т.к. есть флеш

(4.04.2012 - 00:42) Цитировать

#10. linupzer

Шо, прямо таки 0? А CVE-2012-0507 хотя бы взять?
http://amatrosov.blogspot.com/2012/03/blackhole-cve-2012-0507-carberp.html
Отдельно стоит отметить его кроссплатформенность и возможность эксплуатации на системах Windows, мегазащищенный Липукс, Solaris и OSX.

blow05 написал:
Достаточно сп#рное утверждение

??? пруфики

(4.04.2012 - 03:45) Цитировать

#11. MOP3E

blow05 написал:

Шо, прямо таки 0? А CVE-2012-0015 хотя бы взять?

Дык, закрыли уже. У мну WU включено, поэтому эта дырка уже закрыта.

(4.04.2012 - 08:19) Цитировать

#12. MOP3E

linupzer написал:

??? пруфики

Сделано на C#.

(4.04.2012 - 08:20) Цитировать

#13. Luca

blow05 написал:
CVE-2012-0015

.NET имеет в разы большую популярность и дыры в нем носят единичный характер. Java с гораздо меньшей долей несет в себе куда больше дыр.

(4.04.2012 - 08:22) Цитировать

#14. Павел

Luca написал:
.NET имеет в разы большую популярность

Proof?..

Luca написал:
Java с гораздо меньшей долей несет в себе куда больше дыр

Proof?..

(4.04.2012 - 08:50) Цитировать

#15. NEMO

Павел написал:
Poof?Poof?..

Это какое-то издевательство требовать пруфы, когда они перед носом.

blow05 написал:
Достаточно сп#рное утверждение

Сравните Minecraft на Java с другими клонами. Эталон беспросветного тормоза. Тот же Infiniminer, написанный на С#, и являющийся источником вдохновения для Нотча, стабильно показывает 60fps, когда из кубача максимум 20 получаешь.

(4.04.2012 - 09:16) Цитировать

#16. Павел

NEMO написал:
Это какое-то издевательство требовать пруфы, когда они перед носом

Ну так и давайте сюда, что у Вас перед носом! :)

(4.04.2012 - 09:59) Цитировать

#17. SemyonKozakov

NEMO, есть OptiFine, после которого Minecraft начинает работать нормально. Нотч принципиально не занимается оптимизацией, для него куда веселее новые фичи добавлять. А с OptiFine игрушка начинает хорошо работать даже на паршивых нетбуках.

(4.04.2012 - 10:48) Цитировать

#18. Luca

Павел, все пруфы приведены в сообщение #4

(4.04.2012 - 11:32) Цитировать

#19. MOP3E

Павел написал:
Ну так и давайте сюда, что у Вас перед носом!

Ну, хотя бы Catalyst Control Center. Использует .Net ещё с 2007 года (или ещё раньше - точно не помню). Пруф сразу и на быстродействие, и на популярность.

(4.04.2012 - 12:40) Цитировать

#20. blow05

linupzer написал:
http://amatrosov.blogspot.com/2012/03/blackhole-cve-2012-0507-carberp.html
Отдельно стоит отметить его кроссплатформенность и возможность эксплуатации на системах Windows, мегазащищенный Липукс, Solaris и OSX

MOP3E написал:
Дык, закрыли уже. У мну WU включено, поэтому эта дырка уже закрыта.

Но при этом на графике Reported vulnerabilities - 0 для .Net. Следовательно график не отвечает действительности

NEMO написал:
Сравните Minecraft на Java с другими клонами. Эталон беспросветного тормоза. Тот же Infiniminer, написанный на С#, и являющийся источником вдохновения для Нотча, стабильно показывает 60fps, когда из кубача максимум 20 получаешь.

А спорим я могу на C# алгоритм реализовать так, что он будет в 100 раз медленнее, чем в Java работать?

linupzer написал:
??? пруфики

Да ты в неадеквате. Кто-то приводит голословное утверждение, я говорю, что это утверждение достаточно сп#рное и еще должен приводить пруфы? А автор первого утверждения не должен, не?

Luca написал:
.NET имеет в разы большую популярность и дыры в нем носят единичный характер. Java с гораздо меньшей долей несет в себе куда больше дыр

Очередное голословное утверждение. Не, по поводу распространенности на десктопах я не спорю, т.к. идет вместе с виндой. По этой же причине у него гораздо меньший процент на серверах (с тем, что серверов под linux больше, чем под виндой, надеюсь никто спорить не будет?). Ну и плюс мобильные платформы - на скольких телефонах есть J2ME? Ну и андроид никто не отменял

Luca написал:
Павел, все пруфы приведены в сообщение #4

График в твоём "пруфе" - не соответсвует действительности, следовательно и доверия твоему "пруфу" нет

(4.04.2012 - 13:24) Цитировать

#21. SemyonKozakov

MOP3E написал:

Ну, хотя бы Catalyst Control Center. Использует .Net ещё с 2007 года (или ещё раньше - точно не помню).

Товарищ, мне кажется, что вы чушь несёте. Как тогда, по-вашему, работает Catalyst Control Center в линуксе, причём не используя .net/mono?

(4.04.2012 - 13:32) Цитировать

#22. beep

я в инете в песочнице сижу.
и стараюсь обновлять все эти патчи, но а там уже как получится

(4.04.2012 - 13:39) Цитировать

#23. Babusha

SemyonKozakov, ну так в линуксе все как попало работает biggrin

(4.04.2012 - 14:02) Цитировать

#24. MOP3E

Павел написал:
Poof?Poof?..

Proof-Proof-Proof-Proof-Prooоооof, моя маленькая толстая скотинка!

(4.04.2012 - 14:17) Цитировать

#25. MOP3E

blow05 написал:
Но при этом на графике Reported vulnerabilities - 0 для .Net. Следовательно график не отвечает действительности

Отвечает. Ведь в яве не закрывают уязвимости, а всего лишь выпускают для них патчи. Поэтому 60% пользователей сидят на уязвимых версиях явы, так как патчи им скачивать лениво...

SemyonKozakov написал:
Товарищ, мне кажется, что вы чушь несёте. Как тогда, по-вашему, работает Catalyst Control Center в линуксе, причём не используя .net/mono?

А он там не работает. Скорее всего, в драйвера для линуха включают Catalyst Control Рanel, которой .Net не требуется:

https//stoplinux.org.ru/uploads/images/DEFAULT.jpg

(4.04.2012 - 14:38) Цитировать

#26. KaeSkat

Юзеры сидят на уязвимых версиях - а человеческое обновление для Явы Ораклу написать впадлу?

(4.04.2012 - 14:49) Цитировать

#27. SemyonKozakov

MOP3E написал:

А он там не работает.

facepalm.png

(4.04.2012 - 15:10) Цитировать

#28. SemyonKozakov

MOP3E написал:
в яве не закрывают уязвимости

MOP3E написал:
выпускают для них патчи

Нелинейная логика МОРЗЕ в очередной раз приводит меня в восхищение.

(4.04.2012 - 15:11) Цитировать

#29. MOP3E

SemyonKozakov написал:
facepalm.png

Пох.й:

Ещё раз для тебя, тупого: это в винде, как минимум, с 2007 года. Поэтому, встань и иди!

(4.04.2012 - 15:15) Цитировать

#30. blow05

MOP3E написал:
Отвечает. Ведь в яве не закрывают уязвимости, а всего лишь выпускают для них патчи. Поэтому 60% пользователей сидят на уязвимых версиях явы, так как патчи им скачивать лениво...

Т.е. слово Reported тебе не понятно, ок. И да, скинь плз линк на патчик для JRE

(4.04.2012 - 15:18) Цитировать

#31. blow05

KaeSkat написал:
Юзеры сидят на уязвимых версиях - а человеческое обновление для Явы Ораклу написать впадлу?

А чем тебя автообновлялка для виндовой Java не устраивает то?

(4.04.2012 - 15:19) Цитировать

#32. NEMO

SemyonKozakov написал:
есть OptiFine, после которого Minecraft начинает работать нормально. Нотч принципиально не занимается оптимизацией, для него куда веселее новые фичи добавлять. А с OptiFine игрушка начинает хорошо работать даже на паршивых нетбуках.

OptiFine у меня всегда стоит, но не сильно помогает.

blow05 написал:
А спорим я могу на C# алгоритм реализовать так, что он будет в 100 раз медленнее, чем в Java работать?

Это тут причем? Вот сказали, что на Minecraft есть OptiFine, пытающийся выжать последние капли скорости путем оптимизации алгоритмов. Все-равно полутормоз.
К тому же почему-то все игры на java, которые мне приходилось видеть, тоже ужасные тормоза. Ну не верю я, что на Java пишут одни криворукие д.билы, а на .NET сплошные асы.
Вот, Project Zomboid взять. Опять java, опять тормоз, хотя ничего высокотехнологичного. А террария на C# и это сразу видно.

(4.04.2012 - 16:17) Цитировать

#33. SemyonKozakov

NEMO написал:
А террария на C# и это сразу видно.

А ещё Terraria в 2D, и это тоже сразу видно biggrin

Как бы, сравнивать 2D и 3D абсолютно некорректно.

(4.04.2012 - 16:28) Цитировать

#34. blow05

NEMO, Ну так я и говорю, что на java писать десктопные приложения (игры - в том числе) - несусветная глупость. Как и безаппеляционно утверждать, что .Net быстрее Java

(4.04.2012 - 16:32) Цитировать

#35. NEMO

SemyonKozakov написал:
А ещё Terraria в 2D, и это тоже сразу видно biggrin Как бы, сравнивать 2D и 3D абсолютно некорректно.

. Я с Project Zomboid сравнивал.

(4.04.2012 - 16:32) Цитировать

#36. MOP3E

SemyonKozakov написал:
А ещё Terraria в 2D, и это тоже сразу видно biggrin Как бы, сравнивать 2D и 3D абсолютно некорректно.

XNA не делает различий между 2D и 3D. 2D в Террарии это, фактически, эмуляция 2D средствами 3D.

(4.04.2012 - 22:13) Цитировать

#37. Apollo 11

Luca, ждём комментариев. Интересно, в какую сторону тебя на этот раз фантазия заведёт? Нет, я, конечно, не сомневаюсь, что тут это всё обосрут (на ЛОРе, кстати, тоже обосрали), но... вдруг что-то просветлеет в головах местных бездельников?

(4.04.2012 - 22:45) Цитировать

#38. null666

Учитывая, что собственный auto-update Java не умеет обновлять её, когда вход в систему осуществлён с правами пользователя...

Luca написал:
Обычно настройка компьютеров, с которыми мне приходится сталкиваться заключается удалением предустановленного мусора и Java. Пока никто не жаловался...

Банк-клиенты java любят, так что спалилсо, уважаемый.

(5.04.2012 - 07:49) Цитировать

#39. MOP3E

SemyonKozakov написал:
Нелинейная логика МОРЗЕ в очередной раз приводит меня в восхищение.

У мну на компе стояла эта ява. Во-первых, обновлятор элементаро заёбывал своими сообщениями о новых версиях, прорываясь поверх всех окон, включая запущенные в 3D компьютерные игры. Во-вторых, когда я ему всё-таки разрешил обновиться, он этого сделать не сумел. По крайней мере, с первой попытки. В-третьих, когда он всё-таки обновил яву, понадобилась перезагрузка компьютера. Когда же обновляется .Net, перезагрузка почему-то не требуется, что позволяет выполнять такое обновление всегда, когда нужно.

(5.04.2012 - 12:07) Цитировать

#40. blow05

MOP3E, Тебя смущает перезагрузка винды по каждому чиху? Или то, что программа может работать великолепно на одной системе, но не работать на другой, и это при практически полном отсутствии возможности полноценно диагностировать проблему (логов)? Или то, что сообщение, показываемое стандартными средствами лезет поверх всех окон, без возможности отключения такого поведения?

(5.04.2012 - 12:42) Цитировать

#41. shell32

blow05 написал:
Или то, что сообщение, показываемое стандартными средствами лезет поверх всех окон, без возможности отключения такого поведения?

С этого места поподробнее

(5.04.2012 - 13:41) Цитировать

#42. MOP3E

blow05 написал:
MOP3E, Тебя смущает перезагрузка винды по каждому чиху? Или то, что программа может работать великолепно на одной системе, но не работать на другой, и это при практически полном отсутствии возможности полноценно диагностировать проблему (логов)? Или то, что сообщение, показываемое стандартными средствами лезет поверх всех окон, без возможности отключения такого поведения?

Да, меня смущает общая кривость и тормознутость явы под виндами. Почему эти косяки должны оставить меня равнодушным?

(5.04.2012 - 13:51) Цитировать

#43. blow05

shell32 написал:
С этого места поподробнее

А что, в винде уже можно запретить выскакивать уведомлениям поверх полноэкранный приложений? Если да, то расскажи MOP3E, как это сделать, а то он мучается, бедненький

MOP3E написал:
Да, меня смущает общая кривость и тормознутость явы под виндами. Почему эти косяки должны оставить меня равнодушным?

Только говоришь ты про кривость и тормознутость явовской автообновлялки, которая ИМХО ничем (в своём поведении) особо не отличается от той же автообновлялки Adobe Flash. А если есть аргументы по поводу кривости и тормознутости самой платформы - я внимательно слушаю

(5.04.2012 - 13:56) Цитировать

#44. kenzzzooo

blow05, помнится мне, была такая фишка, на одном из банк-клиентов, что необходимо было использовать строго определенную версию java. При том, что классы были из стандартных, но новая версия не работала. Прихлось указывать какую использовать... Ну это не то чтобы кривость платформы, возможно даже к ней это не относится, но "осадок остался"...

(5.04.2012 - 14:31) Цитировать

#45. shell32

blow05 написал:
А что, в винде уже можно запретить выскакивать уведомлениям поверх полноэкранный приложений?

В винде можно написать код так, чтобы сообщения не выскакивали поверх полноэкранных приложений. И даже не только полноэкранных, а поверх любых других приложений, кроме того, которое это сообщение показывает. И при реализации стандартными средствами оно по умолчанию делается именно так так.

(5.04.2012 - 14:55) Цитировать

#46. exlinuxoid

У меня на GTX275 2Гб и последней Жабе (64-бита чуть повеселей чем 32) Майнкрафт с максимальными настройками 200+ фпс всегда, так что тут я хз. А Жаба сама обновления проверяет и докладывает, если чё. Старыми дырявыми жабами должны пользоваться только "продвинутые", которые всегда режут все яйца автозагрузке и оптимизируют винду до синих экранов biggrin

(5.04.2012 - 18:56) Цитировать

#47. blow05

kenzzzooo, да, при переходах 1.4-1.5-1.6 (более ранние я не застал) действительно иногда возникали проблемы. Там в основном классы между пакетами перемещались, поэтому простое указание версий не помогало, надо было брать именно старую версию. И это на совести разработчиков, которым влом импорты поправить. А в случае открытого кода - это можно было бы сделать самому.

shell32, ты модальные окна с уведомлениями не путаешь? И почему же тогда виндовый апдейтер поверх игрушек постоянно вылазит?

(5.04.2012 - 23:03) Цитировать

#48. kenzzzooo

blow05 написал:
при переходах 1.4-1.5-1.6 (более ранние я не застал) действительно иногда возникали проблемы

во-во :) как раз одна из этих версий и была, точно уже не помню какая :)

blow05 написал:
А в случае открытого кода - это можно было бы сделать самому.

и многие готовы этим заняться?

(5.04.2012 - 23:23) Цитировать

#49. kenzzzooo

blow05 написал:
shell32, ты модальные окна с уведомлениями не путаешь? И почему же тогда виндовый апдейтер поверх игрушек постоянно вылазит?

насчет поведения по умолчанию - не скажу, но сделать, как написал shell32, можно...

(5.04.2012 - 23:25) Цитировать

#50. MOP3E

blow05 написал:
Только говоришь ты про кривость и тормознутость явовской автообновлялки, которая ИМХО ничем (в своём поведении) особо не отличается от той же автообновлялки Adobe Flash. А если есть аргументы по поводу кривости и тормознутости самой платформы - я внимательно слушаю

Компоненты пакетов ООо и LO загружаются минуты по полторы. Для работы им требуется ява. MSO 2007/2010 загружается секунд 5-15. Он написан на .Net.

(6.04.2012 - 08:18) Цитировать

#51. SemyonKozakov

MOP3E написал:

Компоненты пакетов ООо и LO загружаются минуты по полторы.

Может, мне видео записать, сколько они запускаются? У меня получалось в среднем 5-10 секунд, примерно столько же MSO 2007 под Wine, на винде чуточку пошустрее. Откуда такие жуткие цифры, ты их на Pentium III запускаешь?
P.S Для работы OOo/LOo Java не нужна, она нужна конкретно Base.

(6.04.2012 - 10:38) Цитировать

#52. kenzzzooo

SemyonKozakov, когда ставил в Arch LO, если не изменяет память, с зависимостями pacman просил выбрать jdk или openjdk... Использует или нет и для чего java в LO - не знаю, да и не интересовало никогда, но тянуть с собой - тянет. По скорости... Честно, ни разу не видел, чтобы OOo или LO (IBM Lotus Symphony - тоже, хотя это, ИМХО, лучший офисный пакет, из основанных на OOo) запускались в винде быстро или быстрее, чем MSO. В linux запускается, действительно, достаточно быстро, но у меня обе машины не совсем слабенькие... Ощутимой разницы, по времени запуска, между MSO на Windows и LO на ArchLinux я не заметил, а вот на винде... На винде LO запускается медленнее, впрочем это касается и других пакетов, о который я выше написал.

(6.04.2012 - 12:10) Цитировать

#53. blow05

kenzzzooo написал:
и многие готовы этим заняться?

Тут вопрос в том - есть возможность, или нет. Я думаю ты бы без проблем справился, если бы захотел

kenzzzooo написал:
насчет поведения по умолчанию - не скажу, но сделать, как написал shell32, можно...

Честно, никогда не писал под винду, поэтому насчет возможности спорить не буду. Зато я помню, как перед игрой по сети в тот же КС приходилось вырубать все программы, которые могут во время игры вылезти. И настроить это поведение (ну кроме как поотключать уведомления в приложениях, но это не выход) не было никакой возможности

MOP3E написал:
Компоненты пакетов ООо и LO загружаются минуты по полторы. Для работы им требуется ява. MSO 2007/2010 загружается секунд 5-15. Он написан на .Net.

Твоя аргументация заставляет меня хвататься за голову

(6.04.2012 - 12:30) Цитировать

#54. kenzzzooo

blow05, честно говоря, я бы не хотел этим заниматься :) Просто лень, да и уровень, возможно, не тот...

(6.04.2012 - 12:53) Цитировать

#55. blow05

kenzzzooo, естественно, гораздо приятнее, когда всё само работает.

(6.04.2012 - 13:53) Цитировать

#56. ikkunan salvataja

kenzzzooo написал:
На винде LO запускается медленнее, впрочем это касается и других пакетов, о который я выше написал.

Вполне закономерно, что под виндой MSO грузится быстрее нежели LO. Однако платой за это служит чуть более долгая загрузка самой винды и больший объём занимаемой ей при старте памяти.

(7.04.2012 - 12:43) Цитировать